Reversare firefox in ambiente linux cercando un malware

di Anonimizzato29470 il
15 risposte
Ciao,
sto cercando un malware dentro firefox, so per certo che c'è ma non so dov'è.
Ho fatto un dump dell'eseguibile a runtime e stavo pensando di darci un occhio. Ma ovviamente non sono molto ferrato di assembly quindi vorrei una mano. Per esempio stavo pensando di settare dei bp su tutte le syscall che inviano dati all'esterno. Secondo voi si puo' fare ? e soprattutto come ?

15 Risposte

  • Non ha senso
  • Scusa, in che senso ?
    scusa l'apparente gioco di parole, ma non capisco cosa non capisci.
  • Non ha senso già dalla prima frase, "so per certo che c'è ma non so dov'è".
    Che poi Firefox è open source: non fai prima a recuperare i sorgenti invece di ricostruirli?
  • 1) se uno viene e ti dice, sei stato qui, qui e qui, hai inviato questa mail a questo tizio. Insomma sa tutto quello che hai fatto, tu come lo spieghi? Poi la cosa è complicata a spiegarsi e un po' uno deve anche andare a fiducia.
    2) secondo te mettono una malware dentro i sorgenti di firefox ? Questo si che non ha senso, lo troverebbe qualunque programmatore in pochissimo tempo. Apparte che potrebbe essere stato patchato l'eseguibile. No, la mia ipotesi è che venga iniettato o da un altro processo o dal kernel stesso. Come potrebbero essere le librerie, o un file di configurazione, o un file della cache... dentro la cartella di firefox ci sono moltissimi file .. credo si faccia prima a reversare il dump.
  • Ma che reverse...!

    Usa un antivirus/antimalware per controllare tutto il sistema (anche se Linux) come tutti e cambia le password dei tuoi account.

    Sicuramente quello che pensi di fare non ha proprio senso.
  • Concordo con oregon
  • È molto più facile di così.
    Se si suppone che ci sia un invio di dati basta intercettare questi, i dati.
  • @oregon @Weierstrass io penso che siete presuntuosi e parlate senza cognizione di causa. Ma voglio essere umile e darvi retta. Ok, quindi fatemi il nome di un antivirus per linux che possa rilevare un code injection ...

    @+m2+ anche tu la fai troppo facile.. per fare quello che dici serve almeno una macchina pulita da mettere in mezzo, mentre io ho solo questo laptop. Dovrei comprarmi un raspberry, ma mi servirebbe comunque un monitor. L'unica cosa che posso fare, e che sto già facendo, è quella di prendermi un vps, ridirigere il traffico, mettere in mezzo in mitmproxy, salvare il traffico decrittato e passarlo a snort. Ma come ho detto è una cosa che sto già facendo.
  • Pensa quello che vuoi, io rimango della mia idea. Buona caccia di virua
  • Hahaha però l'antivurus non me l'hai dato..


  • ***
  • iLewis ha scritto:


    Ciao,
    sto cercando un malware dentro firefox, so per certo che c'è ma non so dov'è.
    Ho fatto un dump dell'eseguibile a runtime e stavo pensando di darci un occhio. Ma ovviamente non sono molto ferrato di assembly quindi vorrei una mano. Per esempio stavo pensando di settare dei bp su tutte le syscall che inviano dati all'esterno.
    1) Secondo voi si puo' fare ?
    2) e soprattutto come ?
    1) Certamente: SI PUO' FARE!
    2) con gli opportuni tool per disassemblare un eeguibile, sapendo cosa cercare e come cercare.

    Nota:

    TEAM di gente ULTRACOMPETENTE, con le ""contro-p"", SPECIALIZZATA SPECIFICATAMENTE in questo tipo di problemi, con DECINE D'ANNI di esperienza ha realizzato software SPECIFICI (gli antivirus, antimailware, anti rootkit, ...)

    Tu, SENZA NE ARTE NE PARTE pensi di riuscirci?

    ***


    Ma giusto per smontare alcune osservazioni:
    1) sto cercando un malware dentro firefox, so per certo che c'è ma non so dov'è.
    2) No, la mia ipotesi è che venga iniettato o da un altro processo o dal kernel stesso
    Ci sono due casi possibili:

    c'e' un processo (NEMMENO visibile nella lista di processi, perche' se c'e' ed e' visibile, magari si riescie ad identificarlo dal nome e dal path ""strano"" del file exe associato, stesso ragionamento se e' una DLL registrata in qualche processo che prevede dei plugins) che inietta il codice in qualche file .exe/.dll/ quando l'applicazione NON E' IN ESECUZIONE (perche' quando e' in esecuzione, NESSUNO ci puo' mettere le mani - questo e' un requirement di Windows al livello piu' basso)

    A) Questo si risolve facilmente: basta togliere i diritti di scrttura a TUTTI, e magari cambiare l'owner del file e mettere un utente creato ad hoc.
    B) basta confrontare byte/byte il contenuto dell'installazione di firefox con una fatta su una macchina considerata pulita. Se ci sono delle differenze, in base al file, puo' essere solo legato all'installazione diversa O un segnale di qualcosa di strano.

    se viene fatto in fase di esecuzione, allora viene fatto dal sistema operativo stesso, QUINDI e' IL SISTEMA OPERATIVO STESSO AD ESSERE STATO COMPROMESSO. In questo caso c'e' solo una soluzione, anzi DUE

    1) FORMATTARE il disco e reinstallare tutto da zero
    2) SE il virus si e' installato nel boot record, che non viene formattato, CAMBIARE ANCHE DISCO.

    Io non mi fiderei di nulla di meno che di una PULIZIA TOTALE E DEFINITIVA.

  • Non serve alcun dispositivo per monitorare il traffico di un programma.
    Ahem diciamo che, forse, non è esattamente il suo campo di competenza.
  • Pulizia totale,cambiare disco, virus da boot sector (parliamo di 10 anni fa)?
    Mi sembrano scelte un pochino estreme, probabilmente dettate dal non avere una conoscenza precisa di cosa facciano, e non facciano, i programmi.
    Magari anche solo sapere cosa sia, un programma.
    Cosa molto meno scontata in ambito di sicurezza
Devi accedere o registrarti per scrivere nel forum
15 risposte